https://www.securityweek.com/twitter-finds-no-evidence-vulnerability-exploitation-recent-data-leaks
Twitter 表示,它已经分析了最近公布的据称包含数亿用户信息的数据库,但没有发现任何漏洞被利用的证据。1 月初,有人在互联网泄露了一个数据库,其中包含大约2.35 亿 Twitter 用户的信息,包括姓名、用户名、电子邮件地址、关注者数量和帐户创建日期。分析公开数据的专家表示,这些数据很可能来自网络抓取。推特周三证实,这 2 亿条记录不是通过利用 2022 年 1 月修补的漏洞获得的,也不是通过其系统中的其他弱点获得的。此外,这家社交媒体巨头澄清说,这 2 亿条记录实际上似乎与之前售出的 4 亿条记录是同一数据集,但删除了重复条目。并表示所有泄露的数据库都不包含任何密码或其他可能导致密码泄露的信息。
https://www.securityweek.com/cisco-warns-critical-vulnerability-eol-small-business-routers
思科本周宣布不会针对影响小型企业 RV016、RV042、RV042G 和 RV082 路由器的严重漏洞发布补丁,这些路由器已达到生命周期结束 (EoL)。漏洞跟踪为CVE-2023-20025(CVSS 评分为 9.0),该安全缺陷会影响路由器的基于 Web 的管理界面,并可能被利用绕过身份验证。该问题的存在是因为传入 HTTP 数据包中的用户输入未得到正确验证,从而允许攻击者向路由器发送精心设计的 HTTP 请求,绕过身份验证并获得对操作系统的根访问权限。思科在其公告中指出:“思科没有也不会发布解决此漏洞的软件更新。没有解决此漏洞的解决方法。”
https://www.securityweek.com/severe-vulnerabilities-allow-hacking-asus-gaming-router
思科的 Talos 安全研究人员发布了有关影响华硕 RT-AX82U 路由器的三个严重漏洞的技术信息。RT-AX82U 是一款 Wi-Fi 6 游戏路由器,可通过在本地网络上运行的 HTTP 服务器进行配置,还支持远程管理和监控。去年,思科的 Talos 研究人员发现了三个严重和高危的安全缺陷,可以利用这些缺陷绕过身份验证、泄露信息或导致易受攻击的 RT-AX82U 路由器出现拒绝服务 (DoS) 情况。这些漏洞中最严重的是 CVE-2022-35401(CVSS 评分为 9.0),这是一种身份验证绕过漏洞,可通过一系列精心设计的 HTTP 请求加以利用。攻击者可以利用此漏洞获得对易受攻击设备的完全管理访问权限。
https://securityaffairs.com/140691/deep-web/telegram-access-dark-web.html
研究人员报告称,一名威胁行为者声称以 20,000 美元的价格提供对 Telegram 内部服务器的访问权限。SafetyDetectives 报道称,暗网市场的一名成员声称以 20,000 美元的价格提供对 Telegram 内部服务器的访问权限。卖方声称该访问权限是永久性的,因为它是由作为公司员工的内部人员提供的。
https://thehackernews.com/2023/01/over-100-siemens-plc-models-found.html
安全研究人员披露了西门子 SIMATIC 和 SIPLUS S7-1500 可编程逻辑控制器 (PLC) 中的多个架构漏洞,恶意行为者可能会利用这些漏洞在受影响的设备上偷偷安装固件并控制它们。漏洞由Red Balloon Security发现,这些问题被跟踪为CVE-2022-38773(CVSS 评分:4.6),严重程度较低的前提是利用需要对设备进行物理篡改。该公司表示,这些缺陷“可能允许攻击者绕过所有受保护的启动功能,从而导致对操作代码和数据的持续任意修改” 。超过 100 种型号易受影响。
https://thehackernews.com/2023/01/experts-detail-chromium-browser.html
关于谷歌 Chrome 和基于 Chromium 的浏览器中现已修补的漏洞的详细信息已经出现,如果成功利用该漏洞,可能会窃取包含机密数据的文件。“问题源于浏览器在处理文件和目录时与符号链接交互的方式,”Imperva 研究员 Ron Masas说。“具体来说,浏览器没有正确检查符号链接是否指向一个不打算访问的位置,这允许窃取敏感文件。”谷歌将中等严重性问题 (CVE-2022-3656) 描述为文件系统中数据验证不足的情况,并在 2022 年 10 月和 2022 年 11 月发布的版本 107 和 108 中发布了 复程序。该漏洞被称为 SymStealer,其核心与一种被称为符号链接(aka symlink)跟随的弱点有关,当攻击者滥用该功能绕过程序的文件系统限制以对未经授权的文件进行操作时,就会发生这种情况。
https://thehackernews.com/2023/01/dark-pink-apt-group-targets-governments.html
根据Group-IB的研究人员进行的最新研究,亚太地区的政府和军事组织正在成为以前未知的高级持续性威胁(APT)组织的目标。大部分攻击针对的是柬埔寨、印度尼西亚、马来西亚、菲律宾、越南和波黑的军事机构、政府部门和机构、宗教和非营利组织,据报道,有一次攻击是针对一家总部设在越南的欧洲机构,但没有成功。据估计,该黑客组织早在2021年中旬就开始了行动,仅在一年后,使用了一种从未见过的自定义工具包,旨在从受感染网络中窃取有价值的信息。
https://therecord.media/strongpity-hackers-created-fake-video-chat-app-to-spy-on-users/
一项最新研究显示,StrongPity黑客组织已经创建了一个恶意的安卓视频聊天应用程序,可以记录用户的电话通话,收集短信,并从数十个移动应用程序中窃取数据。据网络安全公司ESET称,黑客通过一个假冒真实视频聊天服务Shagle的网站发布了这款恶意应用程序,该服务提供陌生人之间的加密通信。这款假应用基于经过修改的Telegram messenger开源代码,并重新打包了StrongPity的后门代码。StrongPity还试图禁用三星设备上的官方安全应用程序。
https://www.infosecurity-magazine.com/news/danish-banks-hit-by-ddos-attack/
本周,丹麦中央银行和包括Jyske Bank和Sydbank在内的七家私人银行遭到分布式拒绝服务(DDoS) 攻击,导致其运营中断。丹麦中央银行发言人表示,周二下午其网站运行正常。此次攻击还影响了IT金融行业解决方案开发商Bankdata,在Bankdata受到DDoS攻击后,上述私人银行的网站在周二被短暂限制。VMware首席网络安全策略师Rick McElroy表示:“最近针对丹麦央行和一家IT合作伙伴的DDoS攻击再次证明,金融服务业是网络犯罪分子的主要目标。”
1月10日,微软发布2023年1月份的周二补丁,总计修复了98个漏洞。其中包括已被积极利用的Windows高级本地过程调用(ALPC)权限提升漏洞(CVE-2023-21674)。微软表示这是一个沙盒逃逸漏洞,黑客利用此漏洞可获得SYSTEM权限。此外,还修复了一个已公开披露的Windows SMB Witness Service提权漏洞(CVE-2023-21549)。
